Csakhogy nem mindegy, hogy:
1.) mennyi ilyen hiba van
2.) mennyire "gátolja" maga a rendszer az ilyesmit (a core fizikailag érintetlen marad bármilyen bővítménnyel, az API úgy van felépítve, hogy minél hatékonyabban by design védjen általános sebezhetőségeket [lásd: db_query()])